etude portant sur le développement de - pour la croissance et la ... · la présentation, à...

Etude portant sur le développement de

l’archivage électronique dans les territoires

Présentation du cadre juridique Octobre 2017

Programme de développement concerté de

l’administration numérique territoriale

DCANT 2015-2017

2

SOMMAIRE

1. Introduction

1. 2.

Contexte et limites du présent document Obligations générales des collectivités territoriales en matière d’archivage

3. 4.

Caractéristiques et contrôle d’un SAE* gérant des archives publiques Les 3 niveaux de la mutualisation d’un SAE

2. Cadre juridique de la mutualisation ou de l’externalisation de l’ensemble des niveaux d’un SAE

3. Illustration du point précédent sous forme de possibilités pour chaque type de collectivité bénéficiaire

4. Cadre juridique de la mutualisation ou de l’externalisation des niveaux « logiciel » et « infrastructure » d’un SAE, en gardant le métier archivage en interne

5. Synthèse du cadre juridique de la mutualisation

6. Impacts du Règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel

(*) SAE : système d’archivage électronique

3

1.1 Contexte du document

dans le cadre de l’étude

• Le présent document explore et illustre le cadre juridique de l’archivage électronique dans les collectivités, afin de faciliter l’émergence et la mise en œuvre de projets d’archivage électronique dans les territoires

• Les textes correspondants sont fournis dans les commentaires de chaque page de la présentation, à partir des textes publiés sur www.legifrance.gouv.fr

• Des compléments importants sont fournis dans les autres travaux de l’étude, notamment :

• Dans le rapport final de l’étude et dans le tableau des scénarios qui l’accompagne, l’évaluation, par les participants à l’étude, des risques associés aux opportunités offertes par le cadre juridique,

• Dans un tableau en annexe du rapport final, qui présente les responsabilités détaillées correspondant à chaque scénario d’archivage électronique pouvant être construit sur la base du cadre juridique.

4

1.1 Limites

du cadre juridique

Dans le respect de la libre administration des collectivités territoriales, le cadre

juridique et les scénarios qui en découlent n’ont pas vocation à déboucher sur des choix qu’il s’agirait de déployer voire d’imposer au niveau national

Le présent document a pour vocation de donner aux collectivités un cadre juridique qui

leur permettront de choisir le scénario d’archivage électronique le plus pertinent au regard des choix qui s’offrent à elles, de leur contexte et de leurs besoins

Bien que le cadre juridique mette en évidence plusieurs autres opportunités, chaque

collectivité pourra décider de mettre en œuvre son propre système d’archivage électronique

5

SOMMAIRE

1. Introduction

1. 2.


3. 4.

Caractéristiques et contrôle d’un SAE* gérant des archives publiques Les 3 niveaux de la mutualisation d’un SAE







6

1.2 Les obligations générales

des collectivités territoriales en

matière d’archivage

En matière d’archivage, le Code général des collectivités territoriales renvoie au Code du patrimoine, qui énonce le principe général selon lequel les collectivités territoriales et les groupements de collectivités territoriales sont propriétaires de leurs archives et en assurent eux-mêmes la

conservation et la mise en valeur.

Les services départementaux sont tenus de recevoir et de gérer les archives des services déconcentrés de l'Etat ayant leur siège dans le département, de même que les autres archives publiques constituées dans leur ressort ainsi que les archives que les communes sont tenues ou décident de déposer aux archives départementales.

Les archives communales sont déposées au service départemental d'archives compétent à l'expiration d'un délai de cent vingt ans pour les registres de l'état civil et de cinquante ans pour les autres documents n'ayant plus d'utilité administrative et destinés à être conservés à titre définitif

Les communes de moins de 2000 habitants peuvent conserver elles-mêmes leurs archives ou les confier au service d'archives du groupement de communes à fiscalité propre auquel elle appartiennent ou au service d'archives de la commune membre désignée par ce groupement pour gérer les archives de celui-ci

Par exception, les archives numériques communales peuvent être déposées au service départemental d'archives avant l'expiration de leur durée d'utilité administrative.

L’Etat exerce un contrôle scientifique et technique sur les archives des collectivités territoriales

Par exemple, le visa du ministre chargé de la culture ou de son représentant (le directeur des archives départementales) est requis pour l'élimination des documents des collectivités territoriales

7

SOMMAIRE

1. Introduction

1. 2.


3. 4.

Caractéristiques et contrôle d’un SAE* gérant des archives publiques

Les 3 niveaux de la mutualisation d’un SAE







8

1.3 Caractéristiques d’un SAE gérant des

archives publiques (source principale : R2GA)

• Dans la norme NF Z 42-013, le SAE est défini comme un système consistant à recevoir, conserver, communiquer et restituer des archives et qui s’appuie sur une plate-forme informatique. Un SAE doit répondre aux principes d’intégrité, de pérennité, de sécurité et de traçabilité.

• Selon le R2GA, le SAE comporte les fonctionnalités d’un outil d’une GED de documents figés ou d’un système de records management auxquelles il convient de rajouter celles relatives à la pérennisation des données et des documents :

• fonctions liées à l'intégrité (empreinte) et à la traçabilité,

• outils d'identification et de validation des formats ;

• outils de conversion des formats ;

• intégration du Standard d'échange de données pour l'archivage (SEDA) ;

• gestion fine des métadonnées techniques sur les formats,

• plans de migrations des formats et supports…

• Comme tout système d'information, ces outils doivent répondre aux exigences des référentiels généraux de sécurité (RGS), d'interopérabilité (RGI) et d'accessibilité pour les administrations (RGAA), gérés par le Secrétariat général pour la modernisation de l'action publique (SGMAP).

• Il est important également de se conformer aux recommandations de l’ANSSI (Agence nationale de

la sécurité des systèmes d'information).

Un SAE gérant des archives publiques doit offrir les services minimaux décrits au R2GA et se conformer aux autres recommandations de l’administration

9

1.3 Caractéristiques d’un SAE gérant des

archives publiques (suite)

• Le Référentiel général d’interopérabilité (V2 de décembre 2015) s’applique à toutes les « autorités administratives », dont les collectivités territoriales, qui ont participé à son élaboration

• Le RGI définit des standards « recommandés » pour les systèmes d’information, c’est-à-dire « qui répondent à tous les critères de sélection, et qui sont alignés avec la stratégie de transformation et de modernisation du système d’information et de communication de l’État. Ce sont des standards

qui doivent être respectés et appliqués par tous. » • Pour l’archivage électronique, le RGI « recommande » le respect des normes ISO 14721:2012 (OAIS),

AFNOR NF Z 42-013 et NF Z 44-022 (SEDA/MEDONA); il définit aussi un profil d’archivage.

• Les documents signés électroniquement se développent avec l’administration numérique; dans ce cadre et celui de la mise en application du Règlement européen eIDAS*, l’ANSSI a publié en janvier 2017 une note relative aux «Services de conservation qualifiés des signatures et des cachets électroniques qualifiés», qui reconnait deux approches pour assurer la conservation des signatures électroniques qualifiées, l’une « spécifique » sans doute assez difficile à mettre en œuvre (extension régulière de la signature), l’autre « systémique », reposant sur la protection en intégrité d’un système d’archivage électronique, pour laquelle la norme française NF Z42-013 est la référence

(*) Règlement européen n°910/2014 du 23 juillet 2014 sur l’identification électronique et les

services de confiance pour les transactions électroniques au sein du marché intérieur et

abrogeant la directive n°1999/93/CE

Un SAE gérant des archives publiques doit respecter les normes ISO 14721:2012 (OAIS), AFNOR NF Z 42-013 (ISO 14641-1) et NF Z 44-022 (SEDA/MEDONA)

10

1.3 Rappel concernant la localisation d’un SAE

sur le territoire français

• Selon les articles L111-1 et L111-7 du Code du Patrimoine, les archives publiques ne peuvent pas sortir du territoire français sans autorisation préalable du ministère de la Culture.

• La sortie du territoire français « peut être autorisée, à titre temporaire, par l'autorité administrative, aux fins de restauration, d'expertise, de participation à une manifestation culturelle ou de dépôt dans une collection publique ».

• Les archives publiques, en raison de l’intérêt historique qu’elles présentent ou sont susceptibles de présenter à terme, sont soumises à un régime de circulation hors du territoire national encadré, qui prévoit qu’elles ne peuvent sortir du territoire national qu’à titre temporaire, après autorisation et pour des fins définies, et que, dans ce cadre, la localisation sur le territoire national permet que les contrôles nécessaires, qui relèvent du contrôle scientifique et technique de l'administration des archives, puissent matériellement être mis en œuvre, notamment par le biais d’inspections permettant de vérifier concrètement la qualité des infrastructures de stockage des données.

Les données et documents d’un SAE d’une collectivité territoriale doivent être conservées sur le territoire français, sauf autorisation

préalable du ministère de la Culture et sous son contrôle

11

1.3 Le CST de l’Etat sur les archives des collectivités s’applique aux archives des

collectivités et à leurs SAE

• Le contrôle scientifique et technique (CST) est le moyen juridique dont l’État dispose pour garantir, au nom de l'intérêt général, la constitution d'un patrimoine informationnel national de qualité. Il couvre toute la chaîne archivistique, comme l'indique l'article R212-3 du code précité : il «porte sur les conditions de gestion, de collecte, de sélection et d’élimination ainsi que sur le traitement, le classement, la conservation et la communication des archives». Le CST prend de multiples formes (la liste suivante n'est pas exhaustive), que ce soit :

• Au niveau du pilotage interministériel ou ministériel : rédaction d'instructions interministérielles ou ministérielles de tri et de conservation des archives publiques, contrôle des déplacements d'archives publiques à l'étranger, validation de politique nationale d'archivage.

• Ou au niveau opérationnel : • vérification des conditions de tenue des archives et établissement de règles les encadrant, validation de procédures

de gestion de l'information : procédure de tenue de dossiers, plan de classement, organisation des dossiers des serveurs d’une administration,

• validation d'un cahier des charges de dématérialisation ou de conception d’un système d'information, • recette de la fonction d'archivage d'un système d'information, • validation d'un cahier des charges pour la conception d'un système d'archivage électronique, • validation des tableaux de gestion* des archives, accord préalable avant toute destruction (visa d'élimination),

validation de tout bordereau de versement, vérification des conditions de conservation dans les administrations productrices ou sur un lieu d'exposition, vérification des conditions de transport d'archives publiques, vérification des procédures réglementaires d'externalisation de la conservation des archives courantes et intermédiaires,

• validation d'un projet de mutualisation de la gestion des archives, • vérification du respect des règles d'accès aux archives publiques,

• Ces contrôles peuvent se traduire par des inspections réalisées sur place ou sur pièces par les personnes en charge du contrôle scientifique et technique.

CDP L212-10, R212-3, R212-4, etc.

Le CST de l’Etat sur les SAE gérant les archives publiques permet, quelles que soient leurs modalités de mise en œuvre, de vérifier leur conformité aux contraintes légales et règlementaires, ainsi qu’aux

recommandations des référentiels de l’administration

12

SOMMAIRE

1. Introduction

1. 2.


3. 4.

Caractéristiques et contrôle d’un SAE gérant des archives publiques

Schéma d’un système d’archivage électronique






13

1.4 Urbanisation des systèmes d’information (Source : Cadre commun d’urbanisation du SI de l’état v1.0_0)

Dans la suite du document, par rapport au modèle d’urbanisation des SI présenté ci-dessus, nous avons simplifié la modélisation du SAE de la manière suivante : • la couche « stratégie » a été retirée, car elle est systématiquement du ressort de l’Etat en matière

d’archives publiques, donc elle n’est pas concernée par la mutualisation • la couche « fonctionnelle » a été intégrée dans le pavé « métier » (définition des fonctionnalités

du SAE et des informations manipulées, indépendamment des choix technologiques)

14

1.4 Schéma d’un système d’archivage électronique (SAE)

Logic

iel et

infr

astr

uctu

re

Métier

et fo

nctionnel

Infrastructure (installation, exploitation, maintenance, administration technique)

Réseaux

Matériels informatiques

Logiciel (installation, exploitation, maintenance, administration technique)

Logiciel d’archivage électronique

Base(s) de données Autres logiciels nécessaires au SAE

Métier

Conventions, etc.

Procédures Veille, Expertise

Processus archivistiques (versement, communication, pérennisation…)

Politique d’archivage

Profil d’archivage Définition du cycle de vie

Locaux

Administration fonctionnelle du SAE

Sé

cu

rité (P

SS

I, PC

A, P

RA

)

Don

né

es

Systèmes d’exploitation

15

1.4 Légende des

schémas suivants

Infr

as

tru

ctu

re

Lo

gic

iel

Mé

tie

r

Archives courantes

Archives intermédiaires

Archives définitives

Fournisseur

Entité bénéficiaire Contrat

Code du patrimoine…

Référence des textes et précision sur les entités bénéficiaires et les fournisseurs possibles

Contenu des textes cités dans les commentaires

Position par rapport au cycle de vie des archives

Périmètre maximal du service fourni

Type de fournisseur

Nature de la relation

Type de bénéficiaire

16

SOMMAIRE

1. Introduction

2. Cadre juridique de la mutualisation

l’ensemble des niveaux d’un SAE ou de l’externalisation de





17

2. Externalisation chez un

« Tiers archiveur agréé »

Infr

as

tru

ctu

re

Lo

gic

iel

Mé

tie

r

Archives courantes



Direction métier ou Service d’archives

Contrat

Code du Patrimoine • L212-4 alinéa II. • R212-19 à R212-31 Arrêté du 4/12/2009

Le SIAF vérifie l’aptitude du tiers à assurer la conservation des archives publiques courantes et intermédiaires dans les règles de l’art et le respect de la réglementation en vigueur. Les critères d’évaluation pour l’agrément des prestataires d’archivage numérique sont disponibles sur francearchives.fr. Ils comprennent notamment : • la qualification et l’expérience du personnel, • la politique de sécurité, • la conception et la documentation du SAE, • les locaux et la protection physique, • les équipements réseau et sécurité, • le transfert et format d’échange des

données, • la gestion des formats de données, • l’enregistrement et stockage des données, • la communication, restitution, destruction, • l’intégrité et les journaux.

18

2. Dépôt dans une autre collectivité

dans le cadre du Code du patrimoine

Mé

tie

r In

fra

str

uc

ture

L

og

icie

l

Archives courantes



Direction ou Service d’archives de la collectivité déposant ses

archives

Code du Patrimoine L212-6-1 (groupement de collectivités territoriales commune)

L212-8 (commune département)

L212-11 (commune < 2000h groupement de communes à fiscalité propre ou département)

L212-12 (commune > 2000h groupement de communes à fiscalité propre ou département)

Service d’archives de la collectivité déposant ses

archives

Convention

Le CST de l’Etat sur les SAE gérant les archives publiques permet, quelles que soient leurs modalités de mise en œuvre, de vérifier leur conformité aux contraintes légales et règlementaires, ainsi qu’aux recommandations des référentiels de

l’administration

19

2. Impact de la loi LCAP

sur la mutualisation

« La conservation des archives numériques peut faire l'objet d'une mutualisation

entre services publics d'archives, dans des conditions déterminées par décret en Conseil d'Etat. Par dérogation aux articles L. 212-6, L. 212-6-1, L. 212-11 et L. 212-12,

le présent article s'applique aux collectivités territoriales et à leurs groupements à

fiscalité propre. »

Décret n° 2017-719 du 2 mai 2017 relatif aux services publics d'archives, aux

conditions de mutualisation des archives numériques et aux conventions de

dépôt d'archives communales

20

2. Définition du Service public d’archives

par le Décret n°2017-719 du 2 mai 2017

Service public d’archives

• a pour missions de collecter, de conserver, diffuser des archives publiques

d'évaluer, d'organiser, de décrire, de communiquer, de mettre en valeur et de

• demeure responsable de ses données, même dans le cadre d’une mutualisation

peut mutualiser

sous le

contrôle

scientifique

et technique

de l'Etat

avec un

autre SPA


Convention de mutualisation

• détermine le périmètre de la mutualisation, la répartition des missions entre les parties et le niveau de service attendu, les moyens de fonctionnement et les compétences des agents en charge de l'exécution des tâches techniques ou fonctionnelles

• fixe des indicateurs de suivi qui feront l'objet d'un rapport établi chaque année par chaque service public d'archives responsable de tout ou partie de la mutualisation et adressé à toutes les parties prenantes de la mutualisation et à la personne chargée du CST de l'Etat

• détermine le cadre financier dans lequel s'exerce la mutualisation sur la base d'un coût de fonctionnement et définit la méthode retenue pour la détermination de ce coût.

• voit sa conformité vérifiée par la personne chargée du CST de l'Etat quatre mois à compter de la réception du projet de convention

sur les archives dans un délai de

Cadre technique Conformité aux règles de l'art, notamment :

• La sécurité et la redondance des infrastructures logicielles et matérielles ;

• La gestion du cycle de vie des données et de leurs métadonnées ;

• La présence de mécanismes destinés à assurer l'intégrité et la lisibilité dans le temps des informations La traçabilité de l'ensemble des actions effectuées dans le système d'archivage électronique ;

;

•

• La garantie de restitution de tout ou partie des informations de traçabilité afférentes.

données et de leurs métadonnées, ainsi que des

21

2. Loi LCAP Mutualisation entre

Services publics d’archives (SPA)

Mé

tie

r In

fra

str

uc

ture

L

og

icie

l

Archives courantes



CDP L212-4-1 Collectivités territoriales et leurs groupements à fiscalité propre Service public d’archives

SPA faisant appel à la mutualisation pour ses archives

Convention

Le CST de l’Etat sur les SAE gérant les archives publiques permet, quelles que soient leurs modalités de mise en œuvre, de vérifier leur conformité aux contraintes légales et règlementaires, ainsi qu’aux recommandations des référentiels de

l’administration

la mutualisation peut concerner un périmètre très varié (tout ou partie de l’infra et/ou tout ou partie de la brique logicielle et/ou une partie de la brique métier)

22

SOMMAIRE

1. Introduction


3. Illustration du point précédent sous forme de possibilités pour chaque

type de collectivité bénéficiaire




Sauf les archives définitives

23

3. Champ du possible pour une commune au titre du Code du patrimoine

EPCI à fiscalité propre

Commune du groupement

Département


Service public d’archives Autres entités

publiques (de droit ou

disposant d’une convention avec le

SIAF pour gérer leurs archives

définitives)


Mutualise

Dépose chez Autres collectivités

du même ou d’un autre territoire

(ex : région)

Tiers-archiveur agréé

Commune Service public

d’archives

Externalise

Autres entités disposant d’un SPA

En complément, il convient d’ajouter la possibilité d’externaliser, dans les différents cas présentés ci-dessus, l’hébergement de l’infrastructure matérielle, de l’environnement système et des logiciels spécifiques d’archivage électronique du SAE, qu’il s’agisse d’archives courantes, intermédiaires ou définitives (cf. chapitre 4 du présent document)


24

3. Champ du possible pour un EPCI à fiscalité propre au titre du Code du patrimoine


Département


Autres entités publiques

(de droit ou disposant d’une

convention avec le SIAF pour gérer leurs archives

définitives)


Mutualise

Dépose chez

Autres collectivités du même ou d’un

autre territoire (ex : région)


EPCI à fiscalité propre


Externalise




25

3. Champ du possible pour un EPCI sans fiscalité propre au titre du Code du patrimoine


Département





définitives)


Mutualise

Dépose chez




EPCI sans fiscalité propre


Externalise




26

3. Champ du possible pour un département au titre du Code du patrimoine




définitives)

Mutualise Autres collectivités du même ou d’un



Département Service public

d’archives

Externalise




27

3. Champ du possible pour une région au titre du Code du patrimoine

Département




définitives)


Mutualise

Dépose chez


autre territoire


Région Service public

d’archives

Externalise



Sauf les archives publiques

définitives

28

3. Champ du possible pour une EPL au titre du Code du patrimoine

Département




définitives)


Mutualise Verse au


autre territoire


Entreprise publique locale (EPL)

Externalise



29

SOMMAIRE

1. Introduction



4. Cadre juridique de la mutualisation ou de l’externalisation des niveaux

« logiciel » et « infrastructure » d’un SAE, en gardant le métier

archivage en interne



30

4. Contraintes s’appliquant au SAE dans le cas de la

mutualisation ou de l’externalisation de ses niveaux

« logiciel » et « infrastructure »

• Le lecteur est renvoyé au chapitre introductif pour prendre connaissance de contraintes légales et règlementaires et de recommandations s’appliquant pour la constitution d’un SAE gérant des archives publiques. Le respect de ce cadre est vérifié par l’Etat dans le cadre du CST de l’Etat exercé par délégation du Préfet, auprès des collectivités territoriales, par le directeur des archives départementales.

• Lorsque, dans le cadre d’une mutualisation ou d’une externalisation, la partie « métier » reste sous la responsabilité de la collectivité concernée, le CST des éléments logiciels et d’infrastructure du SAE est exercé en investiguant en particulier les points suivants :

• Localisation des salles serveur • Responsabilité et exploitation des salles serveur (climatisation, énergie, réseau, etc.) • Choix des machines • Mise à disposition et maintenance des machines • Accès physique aux machines • Mise en place et mise à jour de l’environnement système (système de base de données, anti-virus, système d’exploitation) • Gestion physique des supports de conservation • Politique de sécurité du système d’information (PSSI), plan de continuité d’activité (PCA), plan de reprise d’activité (PRA) :

définition et mise en œuvre • Choix du logiciel de système d’archivage électronique (SAE) • Installation du SAE • Exploitation du SAE (supervision des alertes, des logs système) • Maintenance du SAE • Administration technique (connecteurs, configuration…) • Administration fonctionnelle (gestion des utilisateurs, définition des rôles et des autorisations associées à ces rôles,

paramétrage, définition et gestion des niveaux de service)

Les composants logiciels et d’infrastructure du SAE faisant l’objet d’une mutualisation ou d’un hébergement, ainsi que les prestations associées, sont soumis aux contraintes qui s’appliquent aux

SAE gérant des archives publiques et à leur contrôle via le CST de l’Etat

31

4. Mutualisation de moyens informatiques du SAE

dans le cadre Code général des collectivités territoriales

Mé

tie

r In

fra

str

uc

ture

L

og

icie

l

Archives courantes



La responsabilité métier de l’archivage et les activités associées restent intégralement en interne : gestion des archives (cycle de vie), processus archivistiques, politique d’archivage, pérennisation…

Collectivité faisant appel à la mutualisation

Service d’archives

Direction informatique

Convention

Le fournisseur des moyens informatiques mutualisés n’a pas accès aux données de la collectivité faisant appel à la mutualisation

CDP • L212-4, R212-2 et R212-3

CGCT • L1421-1 à L1421-3 : renvoi au CDP • L2321-2 2° : dépense obligatoire commune • L5217-12-1 1° : dépense obligatoire métropole

Le SAE est soumis au CST de l’Etat (CDP L212-10, R212-3, R212-4) exercé pour les collectivités territoriales par le Directeur des archives départementales

Le CST de l’Etat sur les SAE gérant les archives publiques permet, quelles que soient leurs modalités de mise en œuvre, de vérifier leur conformité aux contraintes légales et règlementaires, ainsi qu’aux recommandations des référentiels de l’administration

la mutualisation peut concerner un périmètre très varié (tout ou partie de l’infra et/ou tout ou partie de la brique logicielle mais pas les services de niveau métier)

Voir page 14

32

4. Hébergement externalisé des moyens informatiques du SAE

Archives courantes




Voir page 14

Mé

tie

r In

fra

str

uc

ture

L

og

icie

l

Collectivité


Direction informatique

Convention • Tiers hébergeur

de SAE / Fournisseur SaaS

• Tiers hébergeur de plateforme / Fournisseur PaaS

• Tiers hébergeur d’infrastructure / Fournisseur IaaS

L’hébergeur n’a pas accès aux données

Le SAE est soumis au CST de l’Etat (CDP L212-10, R212-3, R212-4) exercé pour les collectivités territoriales par le Directeur des archives départementales

La responsabilité métier de l’archivage et les activités associées restent intégralement en interne : gestion des archives (cycle de vie), processus archivistiques, politique d’archivage, pérennisation…

CDP • L212-4, R212-2 et R212-3

Le périmètre des prestations de l’hébergeur peut être varié , de la simple location d’une salle blanche à l’ensemble de ce qui est présenté sur la diapositive

33

5. Champ des possibles pour les SMI* pour accueillir les archives des autres structures

Mé

tie

r In

fra

str

uctu

re

Lo

gic

iel

Archives courantes




Direction métier ou Service d’archives


(*) Structures de mutualisation informatique

Voir page 14

CDP Article R212-12 : « (…) La conservation des archives définitives est assurée dans les dépôts d'archives relevant du service interministériel des archives de France de la direction générale des patrimoines ou placés sous le contrôle de la personne chargée du contrôle scientifique et technique de l'Etat sur les archives. (…) » Les modalités d’hébergement d’un SAE conservant des archives définitives sont soumises au CST de l’Etat, dès les phases amont du projet de SAE (voir page 11 les précisions du R2GA sur le CST)

CDP Art. R. 212-18-2 : « La conservation mutualisée d'archives numériques répond aux normes, conformes aux règles de l'art, qui portent notamment sur : 1° La sécurité et la redondance des infrastructures logicielles et matérielles ; 2° La gestion du cycle de vie des données et de leurs métadonnées ; 3° La présence de mécanismes destinés à assurer l'intégrité et la lisibilité dans le temps des informations ; 4° La traçabilité de l'ensemble des actions effectuées dans le système d'archivage électronique ; 5° La garantie de restitution de tout ou partie des données et de leurs métadonnées, ainsi que des informations de traçabilité afférentes. » Dans le cadre de la mutualisation, le CDP rappelle l’importance de la conformité à l’état de l’art de l’infrastructure du SAE et de sa gestion

EXTRAIT de la norme NF Z42-013 en cours de révision, paragraphe relatif à la sécurité du SAE : « 2 Recommandation : Il est recommandé d’implémenter une démarche ISO 27001 sur le périmètre du SAE. (…) 4 Recommandation : Il est recommandé de rédiger une déclaration d’applicabilité (DDA) listant les mesures prises pour respecter les exigences de l’annexe (A) de l’ISO 27001 et justifiant toute non prise en compte. (…) » L’hébergement du SAE doit être conforme à l’état de l’art en matière de sécurité, ISO 27001 étant la norme de référence EXTRAIT du décret relatif à l’agrément pour la conservation de données de santé à caractère personnel dans le cadre d’un SAE (en cours de rédaction) : « Art. R. 1111-15-1. - Est considérée comme une activité de conservation de données de santé à caractère personnel sur support papier au sens du III de l’article L.1111-8, le fait d’assurer pour le compte du responsable de traitement mentionné au 1° du I de l’article R. 1111-8-8 ou du patient mentionné au 2° du I de ce même article, les activités suivantes : 1° La mise à disposition et le maintien en conditions opérationnelles de locaux adaptés à la conservation de données de santé à caractère personnel sur support papier ; 2° La mise en œuvre de procédures permettant d’assurer la gestion du cycle de vie des données, la traçabilité de l’ensemble des actions effectuées, la restitution de tout ou partie des données et de leurs métadonnées, ainsi que des informations de traçabilité afférentes. » L’hébergement de l’infrastructure d’un SAE nécessite un agrément spécifique en cas de conservation de données de santé à caractère personnel

34

SOMMAIRE

1. Introduction






Synthèse préparatoire à l’élaboration des scénarios

5. Synthèse du cadre juridique

de la mutualisation d’un SAE

35 (1) Sauf EPCI sans fiscalité propre

N° Cadre juridique Entité demandeuse Entité gérant les archives courantes

et / ou intermédiaires Entité gérant

les archives définitives

1 La collectivité gère en son sein ses propres archives

La collectivité elle-même

1 SAE-E La collectivité externalise tout ou partie des logiciels et de l’infrastructure du SAE

1 SAE-M La collectivité mutualise tout ou partie des logiciels et de l’infrastructure du SAE

2

Dépôt au sein d’un EPCI (Code du patrimoine)

Commune, EPCI

L’EPCI à fiscalité propre ou une commune de l’EPCI

2 SAE-E La commune ou l’EPCI à fiscalité propre qui reçoit les archives externalise tout ou partie des logiciels et de

l’infrastructure du SAE

2 SAE-M La commune ou l’EPCI à fiscalité propre qui reçoit les archives mutualise tout ou partie des logiciels et de

l’infrastructure du SAE

3 Dépôt au département (Code du patrimoine)

Commune, EPCI, région, EPL

Le département

3 SAE-E Le département externalise tout ou partie des logiciels et de l’infrastructure du SAE

3 SAE-M Le département mutualise tout ou partie des logiciels et de l’infrastructure du SAE

4 Mutualisation entre SPA (Code du patrimoine)

Commune, département, région, propre

EPCI à fiscalité

Une entité disposant d’un SPA (1)

4 SAE-E Tout ou partie des logiciels et de l’infrastructure du SAE est externalisée

4 SAE-M Tout ou partie des logiciels et de l’infrastructure du SAE est mutualisée

5 Tiers archivage agréé (Code du patrimoine)

Commune, département, région, EPCI, EPL

Tiers archiveur agréé pour la conservation d’archives publiques courantes et intermédiaires

La collectivité demandeuse récupère ses archives définitives (cf. les autres scénarios)

Option SAE-E

Hébergement de logiciels et / ou infra. chez un tiers


La collectivité reste en charge du métier archivage et de la responsabilité des données. Un hébergeur public ou privé fournit tout ou partie des logiciels et de l’infrastructure du SAE et n’a pas accès

aux données

Option SAE-M

Mutualisation de logiciels et / ou infrastructure (Code général des collectivités

territoriales)


La collectivité reste en charge du métier archivage et de la responsabilité des données. Tout ou partie des logiciels et de l’infrastructure sont mutualisés avec une commune, un département, la région

ou un EPCI ou un EPL, qui n’a pas accès aux données

36

SOMMAIRE

1. Introduction





6. Impacts du Règlement européen relatif à la protection des personnes

physiques à l'égard du traitement des données à caractère personnel

37

6. Synthèse de

l’impact du Règlement

UE GDPR

Règlement (UE) 2016/679, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit GDPR)

Les garanties demandées par le Règlement en matière de sécurité imposent de se conformer à l’état de l’art en matière de sécurité informatique. Il est également vraisemblable que le code de conduite pour les archives publiques (prévu par l’Article 40) imposera de suivre les normes internationales d’archivage numérique (ISO 14641-1)

Dans la continuité des SI producteurs ou gestionnaires et avec les mêmes contraintes, le SAE conservant des archives courantes et intermédiaires doit prendre en compte le Règlement UE GDPR les mêmes dispositions que celles prises dans les SI amont doivent lui être appliquées

38

6. Règlement GDPR

Articles importants pour les archives

définitives

• L’Article 17 concernant le droit à l'effacement («droit à l'oubli») ne s’applique pas aux traitements « à des fins archivistiques dans l'intérêt public » (§ 3d)

• L’Article 89 prévoit des aménagements possibles aux dispositions de GDPR pour permettre la conservation des archives publiques

• « 3. Lorsque des données à caractère personnel sont traitées à des fins archivistiques dans l'intérêt public, le droit de l'Union ou le droit d'un État membre peut prévoir des dérogations aux droits visés aux articles 15, 16, 18, 19, 20 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, , dans la mesure où ces droits risqueraient de rendre impossible ou d'entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.»

• D’ici mai 2018, la France devra publier une révision de la loi de 1978 pour déroger aux Articles suivants :

• 15 : Droit d'accès de la personne concernée • 16 : Droit de rectification • 18 : Droit à la limitation du traitement • 19 : Obligation de notification en ce qui concerne la rectification ou l'effacement de données à

caractère personnel ou la limitation du traitement • 20 : Portabilité • 21 : Droit d’opposition (à un traitement des données)

• De plus, le Considérant 158, relatif aux données à caractère personnel traitées à des fins archivistiques, précise que « lorsque les données à caractère personnel sont traitées à des fins archivistiques, le présent règlement devrait également s'appliquer à ce traitement, étant entendu qu'il ne devrait pas s'appliquer aux personnes décédées »

39

6. Règlement GDPR Conditions et garanties à respecter

pour les archives défintives

• Article 89 • « 1. Le traitement à des fins archivistiques dans l'intérêt public (…) est soumis, conformément au présent

règlement, à des garanties appropriées pour les droits et libertés de la personne concernée. Ces garanties garantissent la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière. Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l'identification des personnes concernées, il convient de procéder de cette manière. »

• Article 32 : sécurité de traitement • « 1. (…) le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et

organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

• a) la pseudonymisation et le chiffrement des données à caractère personnel;

• b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

• c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

• d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisation-nelles pour assurer la sécurité du traitement.

• (…) 3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article. »

• Code de conduite • Article 40 : « Les associations et autres organismes représentant des catégories de responsables du traitement ou

de sous-traitants peuvent élaborer des codes de conduite, les modifier ou les proroger, aux fins de préciser les modalités d'application du présent règlement »

• Code en cours de préparation au niveau européen pour les archives publiques, puis sera porté devant une autorité de contrôle (ex : CNIL) puis le comité européen de la protection des données, puis la Commission européenne. Ce Code servira de référence aux services publics d’archives en Europe, donc à ceux des collectivités territoriales françaises.

40

Annexe : conventions conclues pour les

services d’archives dérogatoires

etude portant sur le développement de - pour la croissance et la ... · la présentation, à...

Documents